Microsoft недавно сообщила о новой угрозе, исходящей от китайских хакеров, которые используют обширную сеть из заражённых маршрутизаторов TP-Link и других подключённых к интернету устройств для атак на пользователей облачного сервиса Azure. Эта сеть, известная как CovertNetwork-1658, активно применяет атаки типа Password-Spraying — попытки подобрать пароли путём массовых входов с разных IP-адресов, что позволяет обходить системы безопасности.

Сеть CovertNetwork-1658, включающая до 16 000 взломанных устройств, была впервые обнаружена исследователями в октябре 2023 года. Особенностью сети является использование порта 7777 для управления заражёнными устройствами, что и стало причиной названия Botnet-7777. По данным Microsoft, сеть используется несколькими китайскими группами хакеров для компрометации учётных записей в Azure, что создаёт серьёзную угрозу для безопасности в разных секторах.

По оценкам специалистов, CovertNetwork-1658 использует сотни IP-адресов с коротким периодом активности — около 90 дней. Это затрудняет обнаружение атак, поскольку каждый IP-адрес совершает лишь ограниченное количество попыток входа, что снижает вероятность выявления.

Источник: https://www.securitylab.ru/news/553603.php